L’attaque du logiciel malveillant visant les utilisateurs de CCleaner serait plus importante que ce qui avait été annoncé. C’est ce qu’affirment les spécialistes du Talos Intelligence Group, l’équipe de Cisco en charge de l’analyse des cyberattaques qui a découvert le malware. « Fait intéressant, le tableau (ndlr : des cibles) contient un domaine Cisco (cisco.com) parmi d’autres entreprises technologiques de haut niveau. Cela semble suggérer qu’il s’agit d’un acteur concentré sur la propriété intellectuelle de valeur », indiquent aujourd’hui les spécialistes sur le blog Talos. Ce ne sont pas les plus de 2 millions de personnes qui ont téléchargé les versions de CCleaner infectées qui étaient visées. Outre celui de Cisco, figurent en effet sur le tableau des noms de domaines appartenant à HTC, Samsung, Sony, Gauselmann, VMware, Intel, Linksys, Epson, MSI, Akamai, D-Link ou encore aux opérateurs télécoms O2 et Vodafone.
Les portes dérobées contenues dans les malwares sont destinées à télécharger un second logiciel malveillant. D’après Avast, propriétaire de Piriform, l’éditeur de CCleaner, ce second logiciel n’a jamais été activé. Le spécialiste de la cyberactivité se base pour cela sur les PC grand public qu’il surveille. Reste à savoir ce qu’il en est des véritables cibles de pirates, qui échappent à son radar. D’autant que, comme le précise le blog de Talos, les attaquants peuvent ajouter et supprimer des noms de domaines en fonction des organisations qu’ils choisissent de cibler. Leur base de données MySQL contient ainsi une table de 862.419 entrées, dont 540 réservées aux sites gouvernementaux et 51 aux banques.
Pour connaître le but exact des hackers, il serait intéressant de connaître leur origine. Le document consulté par les spécialistes de Cisco (une archive contenant les fichiers stockés sur le serveur de commande et de contrôle) laisse entendre que la cyberattaque proviendrait de République Populaire de Chine. « Ce qui est loin d’être une preuve formelle », laisse toutefois entendre l’équipe de Talos. Mais celle-ci rappelle que Kaspersky a signalé voici plusieurs jours qu’une bonne partie du code du malware correspondait à celui utilisé par Group 72, un groupe lié à des cyberpirates chinois. « Bien que ce ne soit pas une preuve formelle en matière d’attribution, nous pouvons confirmer le recoupement et nous convenons qu’il s’agit d’une information importante à prendre en considération », estiment les chercheurs de Cisco. Espionnage industriel ou espionnage tout court ? Ou les deux ?